ჩინელმა მკვლევარებმა აღმოაჩინეს 14 დაუცველობა რამდენიმე ბორტ კომპიუტერზე ბე ემ ვე მანქანები, რის გამოც ავტომწარმოებელი იწყებს უსაფრთხოების პატჩების გაცემას საჰაერო და დილერების ქსელების მეშვეობით. ეს ხარვეზები გავლენას ახდენს საინფორმაციო-გასართობი ერთეულზე, ტელემატიკის კონტროლსა და უკაბელო კომუნიკაციის სისტემებზე BMW-ის i Series, X1 sDrive, 5 Series და 7 Series მოდელებზე ჯერ კიდევ 2012 წელს. აღმოჩენილი დაუცველობიდან ოთხი მოითხოვს ჰაკერებს ჰქონდეთ ფიზიკური USB წვდომა მანქანაზე, ხოლო ექვსი დაუცველობის გამოყენება შესაძლებელია დისტანციურად. ბოლო ოთხი დაუცველობა მოითხოვს ფიზიკურ წვდომას მანქანის კომპიუტერზე.
„ჩვენმა კვლევის შედეგებმა აჩვენა, რომ შესაძლებელია ადგილობრივი და დისტანციური წვდომის მოპოვება ინფო-გასართობებზე, T-Box კომპონენტებზე და UDS-ზე. კომუნიკაცია გარკვეულ სიჩქარეზე მაღალი [BMW] ავტომობილის არჩეული მოდულებისთვის და შეძლო კონტროლის მოპოვება CAN ავტობუსებზე შესრულებისას BMW-ს მანქანის სისტემების თვითნებური, არაავტორიზებული დიაგნოსტიკის მოთხოვნები დისტანციურად“, - წერენ Tencent's Keen Security Lab-ის მკვლევარები. ში
წინასწარი ანგარიში, აღნიშნავს, რომ სრული ანგარიში ხელმისაწვდომი იქნება 2019 წელს, რათა BMW-ს დრო დაუთმოს ხარვეზებს.რეკომენდებული ვიდეოები
გარდა ამისა, თუ ჰაკერს აქვს მანქანაზე წვდომა ფიზიკურად, USB, Ethernet და OBD-II პორტები ასევე შეიძლება იყოს ექსპლუატირებული. იმის გამო, რომ USB Ethernet ინტერფეისს არ აქვს უსაფრთხოების შეზღუდვები, ის შეიძლება გამოყენებულ იქნას წვდომისათვის მთავარი განყოფილების ინტერნეტ ქსელი და გამოვლენილი შიდა სერვისების აღმოჩენა პორტის სკანირების გზით, ანგარიში განაცხადა. ჰაკერებს ასევე შეუძლიათ USB დისკის გამოყენება BMW-ს ConnectedDrive-ში მავნე კოდის შესაყვანად hu-intel სისტემის ძირეული კონტროლის მოპოვებით.
დაკავშირებული
- BMW აგზავნის მანქანებს Apple-ისა და Google-ის რეკლამირებული ფუნქციების გარეშე
- Arlo უსაფრთხოების სისტემას გააჩნია ყველა-ერთში ფუნქციონირება თავისი მულტისენსორების წყალობით
- განაახლეთ Google Chrome ახლავე, უსაფრთხოების ამ კრიტიკული ხარვეზის გამოსასწორებლად
ჰაკერებს ასევე შეუძლიათ გამოიწვიონ კოდის დისტანციური შესრულება, თუ მათ არ აქვთ წვდომა მანქანაზე მეხსიერების დაზიანებით დაუცველობა, რომელიც მომხმარებლებს საშუალებას აძლევდა გვერდის ავლით ხელმოწერის დაცვას firmware-ში და დაარღვიონ სხვადასხვა სისტემის უსაფრთხო იზოლაცია კომპონენტები. (2015 წელს, 14 წლის ბიჭმა გატეხა მანქანა 15 დოლარის ღირებულების ტექნიკით მსგავსი ტექნიკის გამოყენებით.) CAN ავტობუსებზე წვდომის მოპოვებით, თავდამსხმელს შეუძლია დისტანციურად გააქტიუროს დისტანციური მართვა დიაგნოსტიკური ფუნქციები მრავალი დაუცველობის ჯაჭვის გამოყენებით რამდენიმე დაზარალებულ მანქანაში კომპონენტები. ჰაკერებს შეუძლიათ თვითნებური დიაგნოსტიკის გაგზავნა ძრავის კომპიუტერზე. საშიშროება, მკვლევარების აზრით, არის ის, რომ ძრავის კონტროლის განყოფილება, ან ECU, კვლავ რეაგირებს დიაგნოზზე. შეტყობინებები, თუნდაც ნორმალური მართვის სიჩქარით, და ”ეს ბევრად უარესი გახდება, თუ თავდამსხმელები გამოიძახებენ სპეციალურ UDS-ს რუტინები.”
„დაუცველობათა ერთმანეთთან მიჯაჭვით, ჩვენ შევძლებთ დისტანციურად დავარღვიოთ NBT [მანქანის კომპიუტერი]“, - აცხადებენ მკვლევარები. ამის შემდეგ, ჩვენ ასევე შეგვიძლია გამოვიყენოთ სპეციალური დისტანციური დიაგნოსტიკის ინტერფეისები, რომლებიც განხორციელებულია ცენტრალური კარიბჭის მოდულში, რათა გამოაგზავნოთ თვითნებური დიაგნოსტიკური შეტყობინებები (UDS) სხვადასხვა CAN ავტობუსებზე ECU-ების გასაკონტროლებლად.
მიმართვაში ZDNetBMW ჯგუფმა აღნიშნა, რომ კვლევა ჩატარდა BMW-ს კიბერუსაფრთხოების გუნდთან ერთად და ხაზგასმით აღნიშნა, რომ ”მესამე მხარეები სულ უფრო მეტად თამაშობენ გადამწყვეტ როლს საავტომობილო უსაფრთხოების გაუმჯობესებაში, რადგან ისინი ატარებენ პროდუქტებისა და სერვისების საკუთარ სიღრმისეულ ტესტებს. ”
რედაქტორების რეკომენდაციები
- M1-ს აქვს უსაფრთხოების ძირითადი ხარვეზი, რომელსაც Apple ვერ ასწორებს
- BMW CES 2022-ზე აჩვენა ელექტრომობილი ფერის ცვალებადი საღებავით
- როგორ შეიძლება Apple-ის პროდუქტების მჭიდრო ეკოსისტემამ შეარყიოს მისი უსაფრთხოება
- თქვენს Dell ლეპტოპს შეიძლება ჰქონდეს უსაფრთხოების დაუცველობა. აი, როგორ უნდა გამოსწორდეს.
- Nvidia აფრთხილებს თავისი GPU-ების მფლობელებს უსაფრთხოების სახიფათო დაუცველობის შესახებ
განაახლეთ თქვენი ცხოვრების წესიციფრული ტენდენციები ეხმარება მკითხველს თვალყური ადევნონ ტექნოლოგიების სწრაფ სამყაროს ყველა უახლესი სიახლეებით, სახალისო პროდუქტების მიმოხილვით, გამჭრიახი რედაქციებითა და უნიკალური თვალით.